"Minaccia: WMA: Wimad [Sosp]" sul file .avi, è possibile rimuovere la minaccia e mantenere il file?

Naviga le tue risposte
2

Ho eseguito una scansione completa del sistema questa mattina con tutti i miei programmi antivirus / malware e Avast ha rilevato 1 virus in un file .avi (che per fortuna non ho ancora guardato): 

Severity: Medium
Threat: WMA: Wimad [Susp]

Non so cosa sia specificamente questa minaccia, ma Microsoft ha una pagina che descrive il virus Wimad "che dice che sono tutti cavalli di Troia che una volta avviati scaricheranno un virus più grande e più potente. link

La mia domanda
Se dovessi ricodificare il file .avi in .mkv tramite il freno a mano, verrebbe lasciato un file .mkv che non contiene trojan horse?

La mia logica è che mentre ricodifica il file lascerebbe dietro di sé il contenuto malevolo non necessario in quanto non è necessario per il video o l'audio? Tuttavia, non so se l'accesso al file tramite il freno a mano comporterà l'esecuzione del trojan?

    
posta joe92 11.11.2014 - 22:46
fonte

2 risposte

3

La famiglia "Wimad" di attacchi di cavalli di Troia funziona utilizzando una normale funzione del formato contenitore "ASF" in modo inaspettato ma non invalido. Di conseguenza, qualsiasi software Windows in grado di funzionare su questi file potrebbe essere vulnerabile, se utilizza le librerie di Windows standard per manipolarli. Questo può includere il freno a mano - non conosco i dettagli di come funziona.

La buona notizia è che l'attacco è specifico di ASF. Se converti il file multimediale per utilizzare un diverso formato contenitore, rimuove l'attacco.

    
risposta data 11.11.2014 - 23:19
fonte
2

Vorrei che l'unico modo true di essere sicuro di aver rimosso la parte malevola del file (supponendo che sia una parte legittima), sarebbe esaminare e disassemblare forensi i valori esadecimali del file.

È quasi impossibile sapere quale tipo di 'virus' (o se si tratti effettivamente di un virus) senza molti più dettagli da te, quindi la cosa migliore da fare sarebbe esaminare il file in modo forense e quindi estrarre cosa vuoi (o rimuovi il malware). Nota: dovresti fare tutto questo in una macchina virtuale isolata.

Potrebbe essere possibile ottenere la firma del malware esatta dal tuo antivirus e restringere la ricerca forense per trovare e rimuovere solo quella.

In alternativa, se conosci la firma del file real , puoi semplicemente rimuovere tutti gli extra. La conoscenza dei file system sarà necessaria qui.

Vorrei comunque evitare di fare qualsiasi cosa per conto tuo (a meno che tu non possieda effettivamente le competenze richieste). Se sei solo curioso, allora fai tutto il tuo lavoro nel "laboratorio" (VM) e lascialo lì, non tirarlo fuori. Ti consiglio semplicemente di procurarti una copia non infetta del file (se possibile) o, in caso contrario, aprirla in una VM isolata (o andare in un negozio di seconda mano e comprare un vecchio computer economico e semplicemente eseguirlo lì ( quindi buttare via il vecchio pc).

Alcune altre considerazioni:

  • Un vero esame può richiedere molto tempo!
  • Dico può perché molti bambini si definiscono 'hacker' semplicemente aggiungendo crap alla fine di un file (AKA lo spazio allentato). Questo è molto facile da rilevare e rimuovere.
  • Funzionano tutti in una VM appropriata.

Riguardo alla tua domanda su se ricodificarlo, annulla il virus, che dipende semplicemente dal virus. Innanzitutto, è molto improbabile che un virus possa eseguire dal filmato in ogni caso, ma potrebbe essere memorizzato e attivato da qualcos'altro, quindi il virus potrebbe effettivamente essere attivato ricodificando il file altrimenti inattivo ! (un altro motivo per farlo in una VM). Inoltre, la semplice re-encoding non può rimuovere il codice dannoso in ogni caso, semplicemente non puoi sapere senza determinare i dettagli del virus ...

    
risposta data 11.11.2014 - 23:11
fonte

Leggi altre domande sui tag

Il fallback TLS può funzionare solo con supporto lato server? Lunghe password e funzioni di derivazione della chiave